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一 种 改进 的 CCN 兴趣 包 泛 洪 攻击 防御 方法 


吴 浔 , 凌 捷 
(广东 工业 大 学 计算 机 学 院 , 广州 510006) 


摘 要 : 内 容 中 心 网 络 (content-centric networking，CCN) 中 兴趣 包 泛 洪 攻 击 (interest flooding attack, IFA) 是 CCN 
网 络 安全 的 研究 热点 问题 。 为 了 提高 CCN 防御 IFA 的 能 力 ， 针 对 不 同 防御 方法 进行 了 研究 ， 提 出 一 种 改进 的 CCN 
兴趣 包 泛 洪 攻 击 防御 方法 。 该 方法 根据 CCN 流 平衡 原理 ， 采 用 恶意 前 级 溯源 的 方式 ， 实 现 对 IFA 的 快速 检测 ， 并 
通过 改进 和 式 增加 积 式 减 少 (additive increase multi-plicative decrease，AIMD) 算 法 ， 实 现 对 IFA 的 防御 。 安 全 性 分 析 
表明 , 该 方法 在 面 对 IFA 时 , 能 够 更 快 的 作出 反应 ; 并 且 相 比 于 其 他 IFA 防御 方法 , 该 方法 在 保证 安全 性 的 前 提 下 ， 
降低 了 CCN 路 由 器 在 检测 IFA 时 的 计算 开销 。 
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Improved defense method for interest flooding attack in CCN 


Wu Xun, Ling Jie 
(School of Computer, Guangdong University of Technology, Guangzhou 510006, China) 


Abstract: The interest flooding attack (IFA) in content-centric networking (CCN) is a hot topic of research on CCN 
network security. In order to improve the ability of CCN to defend against IFA, this paper studied different defense methods 
and proposed an improved defense method for interest flooding attack in CCN. According to the CCN flow balance 
principle, the method used the method of malicious prefix tracing to achieve fast detection of IFA, and the defense against 
IFA was achieved by improving the Additive Increase Multi-plicative Decrease (AIMD) algorithm. The security analysis 
shows that the proposed method can defend faster when it in the face of IFA. Compared with other defense methods, this 
method reduces the computational cost of the CCN router when detecting IFA under the premise of ensuring security. 
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的 兴趣 包 泛 洪 攻击 进行 大 量 的 科学 实验 与 研究 。 唐 建 强 ， 
华 春 等 人 提出 协同 防御 方法 Bl]， 使 用 AIMD 算法 限制 带 有 
内 容 中 心 网 络 (CCN) 自 提 出 以 来 受到 广泛 的 关注 ,已 常 内 容 名 称 前 级 的 兴趣 包 的 转发 速率 。Alexander 教授 
成 为 未 来 互联 网 架构 体系 中 极 具 前 景 的 架构 之 一 帆 。CCN 命 。 团队 成 员 提 出 了 基于 端口 流量 限制 的 IFA 攻击 防御 方法 外 
名 数据 ， 通 过 兴趣 包 〈interest packet) 请 求 相 应 数据 ， 服 务 ”该 算法 主要 是 使 每 个 出 端口 都 有 相应 的 限制 值 ， 当 每 个 端口 
器 或 路 由 器 返回 相应 的 数据 包 〈data packet)。 每 个 CCN 路。 发 出 的 兴趣 包 超 出 了 该 限 值 ， 这 些 报 文 将 在 队列 中 挂 起 。 当 
器 至 少 含 有 三 个 数据 结构 : 内 容 缓 存 (content store, CS)、 允许 发 出 报 文 的 时 候 ， 从 入 端口 的 队列 中 均等 地 将 接受 的 
待定 请 求 表 (pending interest table，PIT)、 向 前 转发 表 文 转发 出 去 。Cheng 等 人 辐 提 出 一 种 基于 满足 率 的 反馈 防御 
(forwarding information base，FIB) 外 。 其 中 ，CS 负责 缓存 方法 。 该 方法 根据 通过 检测 兴趣 包 的 满足 率 ， 判 断 是 否 发 99 
友 到 的 数据 包 ，PIT 负责 记录 请 求 的 兴趣 包 以 及 其 到 来 的 接 ”IFA， 然 后 通过 接口 限制 对 IFA 进行 防御 。Gasti 等 人 中 提出 
， 方 便 数据 包 的 响应 ，FIB 负责 进行 路 由 转发 。 根据 CCN 流 平衡 原理 ， 判 断 IFA 攻击 是 否 发 生 ， 进 而 对 其 
CCN 路 由 器 的 结构 能 够 解决 传统 IP 网 络 中 源 地 址 伪造 、 ”进行 防御 。Dai 等 人 提出 一 种 兴趣 包 溯 源 (interest trace 
针对 特定 主机 泛 洪 攻 击 等 威胁 。 但 是 新 的 结构 也 带 来 了 新 的 ” ”back) 机 制 ， 通 过 CCN 节点 构造 一 条 抑制 信息 ， 逐 跳 向 攻击 
安全 隐患 ， 其 中 对 CCN 威胁 最 大 的 隐患 就 是 兴趣 包 泛 洪 攻 源头 传递 抑制 信息 。 收 到 抑制 信息 的 路 由 器 再 判定 出 恶意 前 
击 。 由 于 路 由 器 需要 将 收 到 但 未 被 CS 满足 的 兴趣 包 的 内 容 级 后 ,通过 伪造 数据 包 并 回复 恶意 兴趣 包 请 求 ,使 路 由 器 PIT 
名 称 信息 记录 在 PIT 表 中 ， 攻 击 者 可 以 利用 该 特性 ， 伪 造 大 ”中 的 非法 条 目 因 收 到 “对 应 数据 包 ” 而 被 满足 ， 并 最 终 反 向 
量 不 会 被 CS 满足 的 恶意 兴趣 包 进 行 兴 趣 包 泛 洪 攻击 ， 通 过 记 位 到 接 入 路 由 器 ,从 而 在 接 入 路 由 器 入 口 处 限制 IFA 恶意 
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耗 尽 路 由 器 的 PIT 空间 ， 使 正常 用 户 的 请 求 被 路 由 器 抛弃 ， 兴趣 包 的 准 入 速率 。Compagno 等 人 四 提出 Poseidon， 根 据 
从 而 达到 拒绝 服务 攻击 的 目的 。 路 由 器 中 每 个 接口 接收 兴趣 包 与 发 出 数据 包 的 比例 和 PIT 的 


使 用 率 来 判断 不 同 接口 是 否 发 生 兴趣 包 泛 洪 攻击 。 
人 中 提 出 网 络 的 自 相 似 性 特性 可 以 很 好 地 描述 流量 特性 ， 可 
究 机 构 都 在 为 解决 CCN 中 ”以 用 网 络 的 自 相似 性 作为 流量 异常 检测 的 基础 ， 根 据 流量 异 


1 IFA 防御 方法 研究 现状 
在 此 背景 下 ， 国 内 外 很 多 1 
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j 且 每 当 有 新 的 带 有 标记 的 数据 包 到 来 , 根据 算法 1， 
比较 数据 包 的 内 容 和 Queue[] 中 的 前 绥 信 息 ， 若 Queue[] 的 某 
目 包含 了 该 最 短 恶 意 前 缀 时 ， 算 法 将 收 束 该 条 目的 内 容 名 
前 缀 为 新 的 最 短 恶 意 前 级 。 所 以 算法 中 Queue[] 能 够 起 到 
收 束 最 短 恶 意 前 缀 的 作用 。 对 于 随机 生成 恶意 兴趣 前 级 的 攻 
兴趣 包 而 言 ， 能 够 快速 的 衰减 其 转发 速率 ， 起 到 防御 IFA 
的 。 
和 法 1 基于 AIMD 的 异常 名 称 兴趣 包 速 率 限制 方法 
// C5 为 大 于 1 的 常数 ， 例 如 C = 18，T 为 默认 时 间 。 


mt 
See 


struct{ 
string countName_short; // 最 短 异 常 前 级 
unsigned double forward_v; // 转 发 速率 


// 距 离 上 一 次 收 到 该 数据 的 时 间 


int find_long(string) // 寻 找 Queue 中 被 字符 串 包含 的 最 长 前 级 位 置 


unsigned int time; 


int find_short(string) // 和 寻找 Queue 中 包含 字符 串 的 最 短 前 级 位 置 
insert(); // 插 入 一 个 新 的 条 目 
updata(); 
// 自 动 降低 各 个 条 目的 time 值 ， 如 果 有 time 值 为 8 的 条 目 则 删除 该 条 目 。 
}Queue[]; 
struct{ 
string countName; // 数 据 报 内 容 名 称 信息 
int flag 
// 数 据 报 特殊 位 , 判断 是 兴趣 包 还 是 数据 包 。 若是 9 表示 兴趣 包 , 1 表示 正常 数据 包 ， 
2 表示 异常 数据 包 。 
string data; // 数 据 报 的 所 包含 的 数据 
name_short(); // 返 回 最 短 无 效 内 容 名 称 
}Datagram; 
switch(Datagram.flag) 
case Q: // 兴 趣 包 
if CS.find(Datapram.countName) || PIT.find(Datagram.countName) || 
FIB.find(Datapram.countName ) : 
forward(Datagram); // 默 认 方 式 转发 兴趣 包 
return 0; 
if Queue.find_long(Datagram.countName): 
int i = Queue.find_long(Datagram.countName); 
// 返 回 最 长 前 缀 匹配 的 下 标 
forward(Datagram, Queue[i].forward_v); 
// 以 速率 forward_v 转发 兴趣 包 


return 9; 


// 若 CS、PIT、FIB、Queue 中 都 未 匹配 到 该 内 容 名 称 兴趣 包 


int flag=2; 
data = Datapram.name_short(); 
datapack = make_datapack(Datapram.countName, flag, data); 
// 产 生 一 个 内 容 名 称 为 兴趣 包 内 容 名 称 ， 特 殊 位 为 2， 内 容 为 兴趣 包 的 最 短 无 效 名 称 
的 数据 包 
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delete Datagram; 
return datapack; 
end if 


Case 1: 


// 此 处 还 需 判 断 Queue 中 是 否 有 对 应 前 


Queue.updata(); 
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// 返 回 一 个 记录 异常 的 数据 包 


// 正 常数 据 包 


级 ， 有 则 删除 ， 并 将 速度 y+C 


return Datagram; // 真 正 返 回 数据 包 
end if 
case 2: // 异 常数 据 包 
Queue.updata(); // 更 新 队列 


if !Queue.find_ long(Datagram.data) && 


! Queue.find_short(Datagram.data): 


// 若 即 找 不 到 最 短 匹配 ， 又 找 不 到 最 长 匹配 ， 则 增加 新 的 条 目 


time = T; 


forward_v = init_ forward_v; 


countName_short = Datagram.data; 


Queue.insert(countName_short, forward_v, time); 


// 插 入 新 的 条 目 


else: if Queue.find_short(Datagram.data): 


// 若 在 Queue 中 能 找到 最 短 匹 配 ， 


更 新 条 目 


int i = Queue.find_short(Datagram.data); 


Queue[i].forward_v *= e^(-C) 


Queue[i].time = T; 


Queue[i].countName_short = Datapram.data; 


else: 


// 若 能 找到 最 长 前 级 匹配 ， 更 新 该 条 目 


int i = Queue.find_ long(Datagram.data); 


Queue[il].forward Vv *= e^(-C); 


Queue[i].time = T; 
end if 
2.3 举例 
图 3 描述 了 
的 CS 为 室 ， 路 


个 简单 的 溯源 防御 例子 ， 假 设 所 
器 CCN-R1 的 FIB 表 中 有 3 个 条 目 : 


路 由 器 


www/youku、www/baidu、www/bilibili; CCN-R2 的 FIB 表 


www/youku/com; CCN-R3 的 FIB 表 条 目 : 
www/baidu/com; CCN-R4 的 FIB 表 条 


: Www/bilibili/com。 


攻击 者 发 送 一 个 内 容 名 称 为 www/baidu/cn 的 兴趣 包 到 
CCN-R1, 根据 最 长 前 级 匹配 的 原则 ，CCN-R1 将 该 兴趣 包 转 


发 至 CCN-R3， 此 时 由 于 兴 


包 的 内 容 名 称 为 www/baidu/cn 


在 CCN-R3 的 FIB 表 中 找 不 至 
是 直接 丢弃 该 兴趣 包 ， 
的 数据 包 。 


2 


| 对 应 的 条 目 ， 当 前 的 处 理 方法 


本 文 的 做 法 是 在 此 时 回复 一 个 带 标记 


当 CCN-R1 收 到 数据 包 时 ， 检 测 数据 包 的 标记 位 ， 若 发 


现 是 恶意 前 级 溯源 的 数据 包 


， 则 通过 AIMD 算法 在 队列 


Queue[] 中 新 增 一 个 条 目 记 录 该 前 级 www/baidu/cn, 并 在 下 一 
| ， 限 制 其 转发 速率 。 


www/youku/com 


次 收 到 具有 该 前 级 的 兴趣 包 昌 


www/baidu/cn AlMp 人 第 法 也 


www/baidu/com 


图 3 


恶意 前 级 溯源 防御 IFA 的 一 个 例子 


Fig.3 Example of malicious prefix traceability defense IFA 
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图 4 描述 了 一 个 Queue[] 队 列 收 束 恶 容 名 称 的 例子 。 
图 中 1、2、 tt A ed 


浔 ， 等 : 一 种 改进 的 CCN 兴趣 包 泛 洪 攻击 防御 方法 


协议 的 跳 数 P 


值 ， 因 此 本 文 所 要 求 的 空 


称 发 送 到 网 络 ， 并 在 网 络 中 传播 ，5、6、7 表示 路 由 器 或 服 
务 器 返回 的 带 有 恶意 内 容 名 称 的 受 标记 的 数据 包 传 播 路 径 ， 


若 发 送 的 是 内 容 名 称 为 a/b/c/[ 非 dj 人 [任意 值 ] 时 ， 将 其 收 东 为 

一 个 条 上 日 ， 并 降低 其 转发 如 c 路 由 Queue[] 所 示 ， 若 在 
Queue[] 队 列 中 有 条 目 收 到 了 正确 的 数据 包 , 则 删除 该 前 级 并 
将 速度 Vv 增加 C。 


4 || ab/clef 避 | ve 


Queuel] 
上 
> 
b 


图 4 Queue 队列 收 束 恶意 内 容 名 称 的 一 个 例子 


Fig.4 Example of a Queue queue that pack malicious content names 
3 ”安全 性 分 析 


3.1 恶意 前 级 溯 源 分 析 
本 文 的 恶意 前 级 溯源 的 思想 早 在 文献 [7] 中 已 经 被 提出 。 
文献 [7] 提 出 兴趣 包 回溯 机 制 ， 在 判定 出 恶意 前 级 后 ， 路 由 器 
通过 伪造 数据 包 并 回复 恶意 兴趣 包 请 求 ， 使 路 由 器 PIT 中 的 
非法 条 目 因 收 到 “对 应 数据 包 ” 而 被 满足 ， 并 最 终 反 向 定位 
到 接 入 路 由 器 ， 从 而 在 接 入 路 由 器 入 口 处 限制 IFA 恶意 兴趣 
包 的 准 
而 且 也 需要 首先 检测 到 恶意 兴趣 包 才 能 针对 性 
本 文 相 比 于 文献 [7]， 首先 明确 了 布置 策略 的 


的 进行 防御 。 
体位 置 为 全 网 


路 由 器 和 内 容 生产 者 ， 其 次 本 文 不 需要 检测 恶意 兴趣 包 ， 可 
以 直接 对 带 有 恶意 内 容 名 称 的 兴趣 包 进行 洲 源 ， 再 结 台 
AIMD 算法 ， 可 以 起 到 很 好 的 防御 IFA 攻击 效果 。 


3.2 AIMD 算法 安全 性 分 析 

本 文 改 进 了 AIMD 算法 , 相 比 于 文献 [3] 中 的 AIMD 算法 ， 
增加 了 一 个 Queue[] 空 间 。 在 文献 [3] 中 实际 上 也 运用 到 一 个 
类 似 的 空间 , 只 是 没有 对 其 进行 详细 的 描述 。 如 Fig.4 所 示 ， 
本 文 对 该 空间 进行 详细 的 描述 ,其 作用 是 记录 最 短 恶 意 前 级 ， 
能 够 对 攻击 者 所 产生 的 大 量 不 同 的 恶意 


i 前缀 进行 收 束 ,图 中 ， 
Queue[] 条 目 数 与 网 络 的 跳 数 关 ， 根 据 TCP/IP 网 络 中 RIP 


Table 1 


入 速率 。 但 是 文献 [7] 中 没有 给 出 具体 策略 布置 的 位 置 ， 


负担 。 


进行 改进 ，1 


太 大 改变 ， 在 文献 [3] 中 ， 证 明了 这 种 限制 带 有 恶意 前 级 兴趣 


本 文 方法 相 比 于 文献 [3] 
IFA 的 防御 策略 主要 依赖 于 AIMD 算法 ， 虽 然 本 文 对 该 算法 
晶 是 在 关键 的 限制 恶意 前 级 的 转发 速率 上 并 没有 
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民 制 可 知 在 真实 网 络 中 网 络 的 跳 数 不 会 超出 一 定 
间 并 不 会 给 路 由 器 带 来 太 大 的 空间 


能 够 保证 安全 性 。 本 文 方法 对 


包 的 转发 速率 的 方法 能 够 起 到 较 好 的 防御 作用 。 因 此 ， 本 文 


改进 的 IFA 防御 方法 能 够 保证 安全 性 。 
3.3 效率 分 析 


本 文 方法 在 面 对 兴 趣 包 泛 洪 攻击 时 ， 在 反应 速度 方面 ， 
相 比 于 文献 [3] 得 到 了 


定 程 度 的 提高 。 在 文献 [3] 中 ， 需 要 检 


测 PIT 的 使 ) 


j 率 以 及 兴趣 包 的 满足 率 ， 它 需要 等 待 PIT 空间 


被 填 满 或 即将 填 满 ， 以 及 等 待 
才能 通过 算法 判断 发 生 了 IFA 攻击 。 
在 此 过 程 中 ， 主 要 依据 


包 满 足 率 5 。 


定数 量 的 兴趣 包 未 被 满足 ， 


个 参数 : 
表示 时 刻 ， 


PIT 使 用 率 % 和 兴趣 
I Tt ) 和 D(,) 表示 第 


用 ,be, 


n 段 时 间 段 内 到 达 路 由 器 的 兴趣 包 和 数据 包 数 量 ， 则 到 达 路 


示 为 : 7(4)= 
0<w<1 是 惯 | 


据 数量 的 敏 


SCD) = 万 如/ 


器 的 兴趣 包 的 历史 平均 值 和 数据 的 历史 平均 值 可 以 分 别 表 


(-oT)+aT,), Dt,)=(-a)DG,) +oD(,) 其 中 
生 系 数 , 表示 长 时 间 段 内 平均 数据 数量 对 当前 数 
感 程度 。tn 时 刻 路 由 器 的 兴趣 包 满 足 率 为 : 

(4) ,由 于 CCN 中 一 个 兴趣 包 只 能 被 一 个 数据 包 


满足 ， 因 此 了 


使 用 率 大 于 阔 值 时 ， 表明 PIT 的 兴 
兴趣 包 满足 率 值 低 于 阔 值 时 ， 


E 常 情况 下 ， 兴 趣 包 满足 率 应 该 为 100%。 当 PIT 
路 包 数 量 超出 预警 值 ， 当 
表明 兴趣 包 数 据 包 一 一 对 应 的 


关系 出 现 异常 ， 通 过 这 两 个 值 的 变化 来 


攻击 。 


而 本 文 的 方法 可 以 做 到 在 一 个 往返 时 间 内 就 能 对 具 


上 断 是 否 发 生 了 IFA 


意 前 级 的 兴趣 包 进 行 限 速 。 并 且 也 不 需要 如 上 所 述 的 计算 过 
程 , 只 需要 等 待 下 B 


条 目的 过 期 时 间 远 远大 于 网 络 中 的 平均 往 
对 IFA 时 ,不 可 能 


[3 在 


个 节点 返回 恶意 内 容 名 称 即 可 。 


返 时 间 ， 因 此 文献 
在 一 个 往返 时 间 内 作出 反应 。 因 此 


在 检测 IFA 是 否 发 生 方 面 , 本 文 相 比 于 文献 [3] 具 有 一 定 的 进 


步 。 


表 1 将 本 文 的 方法 与 


其 他 IFA 防御 方法 进行 对 比 ， 可 以 


更 加 详细 的 看 到 各 种 方法 的 工作 方式 以 及 部 署 方式 。 
表 1 IFA 防御 技术 比较 


IFA defense technology comparison 


攻击 检测 攻击 防御 


速率 限制 方法 


兴趣 包 满足 率 的 速 


基干 满足 变 的 反馈 兴 斤 名 洪 呈 率 


率 限制 


速率 限制 粒度 


按 接口 限制 


全 网 路 由 器 


Tracbackl"] PIT 使 用 率 


基于 | PIT 使 用 率 和 兴趣 包 a 
方法 上 满足 率 再 


前 
兴趣 包 满足 率 和 PIT | 异常 接口 和 异常 
到 前 


SDN 流 调控 


基于 AIMD 的 异常 前 绎 
率 限制 


基于 AIMD 的 异 


按 前 缀 限制 全 网 路 由 器 


按 前 缀 限制 站 
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值得 一 提 的 是 ， 本 文 方法 通过 济源 带 有 标记 的 数据 包 的 
方式 , 将 恶意 内 容 名 称 告知 整个 网 络 , 而 如 表 中 所 示 多 数 IFA 
防 得 廊 法 前 要 | | 到 恶意 内 容 名 称 言 息 因此 本 文 的 方法 岂可 networking [J]. Journal of Electronics & Information Technology, 2014, 
以 与 其 他 IFA 的 防御 技术 进行 有 效 的 合作 部 署 ， 这 种 合作 五 36 (7): 1735-1742. ) 

以 使 得 其 他 的 IFA 防御 技术 不 再 依赖 于 IFA 检测 模块 ， 可 以 [4] Afanasyev A, Mahadevan P Moiseenko I, et al. Interest flooding attack 
提高 这 些 防御 技术 在 检测 IFA 时 的 效率 。 
例如 ， 本 方法 与 协同 防御 策略 结合 ， 可 以 通过 增加 协同 
防御 包 模 块 ， 使 得 其 他 路 由 器 快速 知道 新 的 恶意 前 级 信息 。 [5] Cheng Yi, Afanasyev A, Moiseenko I, et al. A case for stateful 
而 本 文 的 方法 中 ， 必 须 是 恶意 兴趣 包 经 过 的 路 径 上 的 路 由 才 

会 对 其 进行 防御 。 结 合 之 后 ， 可 以 有 效 提高 整个 网 络 对 恶意 

兴趣 包 的 防御 能 力 。 与 SDN 方式 结合 时 ， 当 溯源 数据 包 到 达 
监控 路 由 器 时 ， 将 恶意 内 容 名 称 前 级 发 送 给 中 央 控 制 器 ， 可 
以 节省 传统 技术 的 检测 恶意 内 容 名 称 的 时 间 


司 等 。 Computer Communications and Networks. Piscataway, NJ: IEEE Press, 
4 ”结束 语 


2012: 1-7. 
[7] Dai Huichen, Wang Yi, Fan Jindou, et al. Mitigate DDoS attacks in 
文献 [3] 的 协同 防御 策略 通过 检测 路 由 器 中 的 PIT 使 用 率 NDN by interest traceback [C]/Proc of Computer Communications 
和 兴趣 包 的 满足 率 ， 能 够 有 效 的 检测 出 是 否 发 生 了 兴趣 包 泛 Workshops.Piscataway,NJ: IEEE Press, 2014: 381-386. 
洪 攻 击 ， 然 后 通过 AIMD 算法 ， 对 检测 到 的 带 有 恶意 前 级 的 [8] Compagno A, Conti M, Gasti P, et al. Poseidon: mitigating interest 
包 进 行 防御 。 该 方法 本 身 对 CCN 中 的 兴趣 包 泛 洪 攻 击 
有 十 分 优秀 的 防御 能 力 。 但 是 ， 文 献 [3] 的 方法 在 检测 IFA Networks. Piscataway, NJ: IEEE Press, 2013: 630-638. 
方面 也 存在 不 足 之 处 ， 根 据 CCN 流 平衡 原理 ， 在 网 络 中 实 [9] Cheng Xiaorong, Xie Kun, Wang Dong. Network traffic anomaly 


(Tang Jianqiang，Zhou Huachun, Liu Yi, et al. Mitigating interest 


flooding attack based on prefix identification in content-centric 


T 


and countermeasures in Named Data Networking [Cl]//Procof IFIP 


Networking Conference. Piscataway, NJ: IEEE Press, 2013: 1-9. 


forwarding plane [J]. Computer Communications, 2013, 36 (7): 
779-791. 
[6] Gasti P, Tsudik G, Uzun E, et al. DoS and DDoS in Named Data 


Networking [Cl]/Proc of the 22nd International Conference on 


hy 


flooding DDoS attacks in named data networking [C]/ Local Computer 


际 上 有 知道 恶意 前 级 百 已 、 的 设备 ) 因此 不 需要 通过 仿 测 路 由 detection based on self-similarity using hht and wavelet transform [C]/ 


器 中 的 PIT 使 用 率 和 兴趣 包 的 满足 率 就 能 够 得 到 恶意 兴趣 包 
的 前 级 信息 。 本 文 利用 网 络 中 这 些 知 道 恶意 前 级 信息 的 设备 
对 恶意 前 级 进行 溯源 ， 可 以 在 一 个 往返 时 间 内 对 这 些 恶 意 前 
级 进行 防御 。 相 比 于 文献 [3] 的 方法 ， 在 应 对 兴趣 包 泛 洪 攻 击 
时 ， 反 应 速度 上 得 到 了 提高 ， 另 外 在 不 改变 AIMD 算法 的 核 
心情 况 下 ， 改 进 AIMD 算法 使 其 适用 于 新 的 检测 技术 ， 这 样 
就 保证 的 安全 性 。 总 而 言 之 ， 本 文 方法 相 比 于 文献 [3]， 在 保 
证 了 安全 性 的 前 提 下 ， 提 高 了 对 兴趣 包 泛 洪 攻击 的 反应 速度 
降低 了 CCN 路 由 器 检测 IFA 时 的 计算 开销 。 
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